AzureActiveDirectoryDomainServicesを試してみる2

Posted on

JMT西森です。

前回に続き、今回は何がどこまで出来るのか、
色々とAADDSの環境を見ていきたいと思います。

 

なお Azure Console 上では、Domain Services に関する操作はほぼ何もできません。

そこで、普段ADを管理する上で使用する各種ツール群が使えるのかどうかを試してみます。

新たにAD管理用でVMを作るのは面倒なので、前回使用したVMをAD管理用として使いたいと思います。

なお画像内の名称等、前回と一部異なる部分がありますが、大人の事情で環境をリビルドしたせいです、察してください。

 

最初にまず訂正があります…。
AADDSの機能をフルで活用するには、AAD用の管理者グループを作成し、
さらにユーザーをその管理者グループに追加する必要がありました…。

Azure Console上で、管理者グループの作成及びユーザーの登録を行います。

20151026_001

名称は必ず「AAD DC Administrators」と指定する必要があります。

20151026_901

グループの詳細画面に入り、メンバーの追加でユーザーを追加します。

20151026_902

ほんとはこれを前回の最初にすべきだったんですけど…結果オーライ!

 

次にVM上でAD管理ツール群が使えるようにしましょう。
サーバーマネージャーから機能を追加していきます。

サーバーマネージャーの右上にある「管理」から
「役割と機能の追加」を選び、以下の機能を追加します。
・Remote Server Administration Tools -> Role Administration Tools
-> AD DS and AD DS Tools -> AD DS Tools
・Group Policy Management

以後、ログインユーザーは上記「AAD DC Administratos」に追加したユーザーで実施する必要があります。

そのため、上記ユーザーでリモートデスクトップログインして以下を実施します。

 

ちなみに余談ですが、ドメイン参加したマシンでは、「AAD DC Administratos」に
ローカルのAdministorator権限を付与することになっています。

20151026_999

そのため、上記で追加したユーザーは、ドメイン参加しているマシンすべての
管理者権限を持っている ということに注意してください。

 

インストールが完了したら、管理ツールを開きます。
試しに「Active Directory Users and Computers」を起動します。

20151026_007

「Domain Controllers」や「System」等のOUオブジェクトが表示されません。
参照権限が与えられていないようです。

20151026_008

20151026_009
「AAD DC Computers」にComputerオブジェクトがありますね。
なお通常の「Computers」OUには何もオブジェクトがありません。

20151026_010

20151026_011

Azure Console で作成したユーザーオブジェクトが「AAD DC Users」OU以下にあります。
逆に通常の「Users」OU以下によく見るユーザーやグループオブジェクトがあります。

AADDSのユーザーやグループ、コンピューターオブジェクトは、この「AAD DC XXX」の
OUの下に作成されているようです。

なおユーザーやグループ、OU等のオブジェクトを、ここで作成・更新することはできません。

これはAADDSの仕様上、そうなっているようです。

※追記:再度確認したところ、「AAD DC Computers」OU以下に、「Computer」オブジェクトのみ作成することが出来ました

 

次は「Active Directory Sites and Services」を起動してみましたが、エラーが出ました。
詳細はここでは載せませんがattribute云々言われたので、上と同じく権限周りかなと。

 

今度は「Active Directory Domains and Trusts」を起動してみました。
正常に起動したので、そのままプロパティを確認してみました。

20151026_012

ドメインの機能レベルは「Windows Server 2012 R2」のようですが、
フォレストの機能レベルは表示されません。これも仕様でしょうね。

 

次は気になるグループポリシー!起動させましょう。
デフォルトのグループポリシーに加え、「AADDC Computers GPO」
「AADDC Users GPO」があるみたいですので、中身をみてみます。

20151026_013

administratorsというグループが存在するだけですね。
「AADDC Computers」というOUにリンクされています。

20151026_014

何も設定されていませんでした。
「AADDC Users」というOUにリンクされています。

なお、デフォルトのGPOである「Default Domain Controller Policy」及び
「Default Domain Policy」には、変更権限がありません。
右クリックしても、「Edit」の部分がグレーアウトされています。
また、新しいGPOを作成することもできません。

しかし「AADDC Computers GPO」「AADDC Users GPO」については
右クリック->Editで変更が可能です。

またドメインコントローラについてですが、本環境ですと1台構成のようです。

20151026_015

他に検証されている方のブログでは4つと記載があるようなので、今回とは違うようです。
またこのブログを書く前に一回ためしに作った環境だと、ADは2サーバーありました。
リージョンやタイミングによって変わるのか?…でも1台だと耐障害性が…うーん…。

 

今回はここまで。最後に軽くまとめてみると…
・Azure VMをドメイン参加させることは可能
・ユーザーやグループの作成はAzure Consoleのみ
・GPOの新規作成やデフォルトGPOの更新は不可
・AADDC用のGPOは更新可能、但しコンピューターやユーザーごとに1つのみ
という感じでした。

 

シンプルなGPOで管理されている事業者様であれば、十分使えそうな印象ですが…。
やはりOUやGPOは複数作成したいところです。今後に期待ですね。

LINEで送る

AzureActiveDirectoryDomainServicesを試してみる

Posted on

JMT西森です。

個人的に非常に待望していた、Azure Active Directory に
ドメイン機能がパブリックプレビューされました!!!

ということで、Spark?ナニソレ??といわんばかりに予告をスルーして、
こちらの機能を色々と試してみたいと思います。

今回はとりあえず、Azure Active Directory Domain Services
(以下、AADDS)を有効にして、Azure VMのマシンをドメイン参加
させるところまでやってみたいと思います。

長い説明となってしまうので、最初に流れだけ説明すると…
 1. AAD作成
 2. ユーザ作成&管理者権限付与
 3. 仮想ネットワーク作成
 4. ドメインサービスを有効可
 5. 仮想ネットワークでDNS設定
 6. ユーザーのパスワードリセット
 7. VM作成し、ドメイン参加
という感じです。それでは、やってみましょう。

 

1. AAD作成
AADを作成します。
20151022_001

20151022_002

20151022_003

 

2. ユーザー作成&管理者権限付与
AADでユーザーを作成します。

20151022_004
画面下の「ユーザーの追加」をクリック。

20151022_005

20151022_006

20151022_007

20151022_008
パスワードは後半で使うので忘れないようにしましょう。

20151022_009
画像では5つ作っていますが、とりあえず1つで大丈夫です。

今度は作成したユーザーに管理者権限を付与します。ユーザの詳細画面に移動します。

20151022_010

上の画面を下にスクロールすると、【ロール】があります。
ここが通常は「組織のロール:ユーザー」になっていますが、
これを「サービス管理者」に変更して、保存してください。

20151022_011

 

3. 仮想ネットワーク作成
AADDSが所属するための仮想ネットワークを作成します。

20151022_012

20151022_013

20151022_014

20151022_015

 

4. ドメインサービスを有効可
AADにて、ドメインサービスを有効にします。
1.で作成したAADの画面に移動して、「構成」を選択します。

20151022_016

下にスクロールすると、【ドメインサービス(プレビュー)】がありますね。
これを有効にし、DNSドメイン名を指定(デフォルトのままにしました)し、
有効にする仮想ネットワーク(2.で作ったネットワーク)を指定します。
指定したら忘れずに保存してください。

20151022_017

なお結構時間がかかります。私の環境では30分から40分程度でした。
正常に完了すると、下記のような画面になります。

20151022_018
IPアドレスが付与されています。2つあるようです。
ここだけ見ると、ADが2台あるように見えます。

 

5. 仮想ネットワークでDNS設定
3.で作った仮想ネットワークの画面に移動して、「構成」を選びます。
DNSサーバの設定箇所があるので、上で表示された、IPアドレスを付与します。
なお名称は任意で構いません。

20151022_019

 

6. ユーザのパスワードリセット
この手順が大事です。※2.以降であればいつ実施しても構いません
オンプレADとAADが連携している環境の場合は、再度パスワードをsyncする必要があるようです。
# AADDS上のユーザーのパスワードハッシュが生成されていないから?

今回はシンプルに、ログイン画面からリセットします。
IDは<アカウント名>@<AD名>.onmicrosoft.com、パスワードは2.で表示されるものでログインします。
するとパスワードの有効期限切れで再入力を求められるので、設定を実施してください。

 

7. VM作成し、ドメイン参加
Azure VMを作成し、2.で作ったネットワーク上で起動させます。
なお手順は割愛します。

VM作成完了後、コマンドプロンプトでipconfigの情報をみてみました。

20151022_020

DNS Servers としてADのIPが設定されていることが分かります。

それでは、いつもの手順でドメインに参加してみます。
ドメイン名は 4. で表示されるDNSドメイン名です。
今回の場合だと、【testadjmt001.onmicrosoft.com】になります。
すると、認証画面が出てきました!!!

20151022_021

2. で作成したIPとパスワードを入力します。
すると…

20151022_022

ドメイン参加することが出来ました!
再起動後にコンピュータの情報を見ると、参加できていることが分かります。

20151022_023

今回はここまで。次回はAADDSどのような環境となっているか、色々と調べてみたいと思います。

LINEで送る

Azure HDInsight Spark を試してみた

Posted on

JMT西森です。

題名の通り、Azure HDInsight Sparkを試してみました。
なお 2015/10/09 時点で本機能はプレビュー版となっています。

 

【参考にしたサイト】
Azure ドキュメントサイト ⇒ こちら

【作ってみる】
Azureポータルから作成可能です。試しに最小構成で作ってみましょう。
…と、そういえばStorageアカウントが必要でした。
事前に作成してもいいのですが、今回はあえて一緒に作ってしまいましょう。

Azureポータルから「HDINSIGHT」⇒「HDINSIGHTクラスターの作成」を選びます。

20151009_001

リストから「カスタム作成」を選択すると、色々と情報入力を求められます。
<クラスターの詳細>

20151009_002

クラスター名 knspark001
サブスクリプション名 XXX
クラスターの種類 Spark
オペレーティングシステム Windows Server 2012 R2 DataCenter
HDInsightのバージョン 3.2 (HDP 2.2、Hadoop 2.6、Spark 1.3.1)

<クラスターの構成>

20151009_003

データノード 1
リージョン 東アジア
ヘッドノードのサイズ A3 (4コア、7GBメモリ)
データノードのサイズ A3 (4コア、7GBメモリ)

<クラスターユーザーの作成>

20151009_004

HTTPユーザー名 XXX
HTTPパスワード、パスワードの確認 YYY
クラスターのリモートデスクトップの有効化 チェックしない
Hive:Oozieメタストアの入力 チェックしない

<ストレージアカウント>

20151009_005

ストレージアカウント 新しいストレージアカウントを作成する
アカウント名 XXXXX
既定のコンテナー Spark001Con
追加のストレージアカウント 0

<スクリプトアクション>

20151009_006

今回は特に何もしないので、そのままです。

最後に右下のチェックをクリックすれば、作成完了です!

20151009_007

今回はとりあえずここまで。

次回はどのような環境になっているのかの確認と、

サンプルデータの参照を行ってみたいと思います。

LINEで送る